【106缺失TOP10系列文章】柒、四、(四)文件化資訊-陳偉嵩主導稽核員分享

柒、四、(四)文件化資訊 

1.管理制度文件應包括本規範要求之文件化資訊，及施行機關(構)或學校要求管理制度為達成其有效性之文件化資訊與作業紀錄。
其文件化資訊至少應包含：

(1)決議事項確認其關注方(利害相關團體)與要求事項
說明：受稽單位較易忽略關注方之討論議題，以學校單位來說，關注方來元相對單純，可參考如學生、家長、教師、董事會或外部單位(如教育部、國科會)對於學校之資安議題的要求內容，並將討論內容透過管理審查程序進行，且留存紀錄以供稽核佐證。

(2)管理政策
說明：資安政策之訂定應有相關核准及發佈程序，並注意版本控制與文件修訂審查。

(3)管理目標
說明：可透過有效性量測表之內容明確訂定管理目標，以利後續追蹤及審查依據。

(4)人員勝任之證據
說明：對於人員管理與評估可提出相關教育訓練內容、證照內容、是否違反單位內部相關條款等。

(5)管理制度執行證據
說明：以每一年對於整個資安管理系統之PDCA循環，應包含必要之管理作業，以供外部稽核查檢佐證。
　P：管理審查會議、有效性量測目標
　D：資產盤點、風險評鑑、帳號清查、BCP 演練、教育訓練
　C：內部稽核、資安事件通報
　A：矯正處理、持續改善

(6)風險處理計畫與風險處理結果
說明：受稽單位應由資產盤點、風險評鑑、風險處理計畫、風險在評鑑等流程完整留下紀錄

(7)有效性評估證據
說明：有效性量測表為單位以執行ISMS所應達成之控制目標自行定義相關指標，所訂定指標應符合單位資源與特性，並無絕對標準，但個指標必須要有符合與不符合之明確計算標準。

(8)管理審查執行之證據
說明：管理審查會議應留下會議紀錄並包含所討論之議題及會議成員，相關會議記錄與決議應由管理階層審查。

(9)不符合項目及矯正措施
說明：受稽單位對於ISMS日常維運所發生之異常及事件、內部稽核及外部稽核結果均應有相對應之矯正措施執行，以利相關人員執行管理措施。